中小企業のIT教育｜社長が教えるべき「最低限の3つ」とは？

独立行政法人情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2025」において、組織（企業）向けの脅威として「サプライチェーンの弱点を悪用した攻撃」が上位にランクインし続けています。

これは、セキュリティの堅固な大企業を直接狙うのではなく、取引先である中小企業を一度乗っ取り、そこから大企業へウイルス付きメールを送りつける手口です。

外部からの攻撃と同じくらい怖いのが、内部の「ヒューマンエラー（人為的ミス）」です。

• メールの宛先（To/CC/BCC）を間違えて、顧客名簿を一斉送信してしまった
• 大事な見積書が入ったUSBメモリを紛失してしまった
• 私用のスマートフォンで現場の写真を撮り、SNSにアップしてしまった

これらは高度なハッキング技術とは無関係の、単純な「知識不足」と「ルール欠如」から起こります。逆に言えば、正しい知識さえあれば、コストをかけずに防ぐことができるのです。

最も危険なのは、全てのサイトやサービスで同じパスワードを使うことです。どこか一箇所から漏れれば、会社の銀行口座からメール、顧客データまで全て乗っ取られます。

パスワードだけでは、どんなに複雑にしても漏洩すれば終わりです。そこで有効なのが「2要素認証（2段階認証）」です。

これは、パスワードを入力した後に、スマートフォンに届く確認コードや、認証アプリの番号を追加で入力する仕組みです。家の玄関に「鍵」と「チェーンロック」の両方をかけるようなものだとイメージしてください。

• GoogleやMicrosoftのアカウントには、設定画面から2要素認証をオンにできる
• ネットバンキングでは既に導入済みのケースが多い（ワンタイムパスワードなど）
• 業務で使うサービスは、可能な限り2要素認証を有効にするルールを作る

パソコンの画面に「Windowsの更新が必要です」と出たとき、「後で通知する」を押して何ヶ月も放置していませんか？

アップデートは、パソコンの防犯機能を強化する工事のようなものです。放置することは、壊れた鍵をそのままにしているのと同じです。「更新通知が来たら、作業を止めてでもすぐに実行する」という文化を社内に作りましょう。

デスクトップ画面がファイルで埋め尽くされている社員はいませんか？パソコンが故障した際、デスクトップに置かれたデータは最も復旧が困難です。

GoogleドライブやDropbox、あるいは社内の共有サーバー（NAS）など、「必ずここに保存する」という共通の場所を決めてください。

「見積書_最新.xlsx」「見積書_最終.xlsx」「見積書_本当に最後.xlsx」……これではどれが正しいか分かりません。

一斉送信メールを送る際、顧客のアドレスを「CC」に入れてしまうと、顧客同士のアドレスが見えてしまい、個人情報漏洩となります。「社外への一斉送信は必ずBCCを使う」を鉄則にしてください。

個人のLINEで業務のやり取りをすると、退職時に情報が持ち出されたり、プライベートな誤爆（送信ミス）が起きたりするリスクがあります。可能な限り、ビジネス用のチャットツール（LINE WORKSやSlackなど）や会社用のアドレスを使用させましょう。

「クラウドにアップロードして」と言っても伝わらない場合は、「インターネット上の貸倉庫に荷物を預けて」と言い換えてみましょう。
「OSをアップデートして」は、「パソコンの健康診断を受けて治療して」と伝えます。

ウイルス感染や誤送信をした際、社員が最も恐れるのは「社長に怒られること」です。その結果、報告が遅れ、被害が拡大します。

「ミスは誰にでもある。起きたらすぐに言えば助けられるから、隠すことだけは絶対にしないでほしい」と日頃から伝えておくことが、最強のセキュリティ対策になります。

分厚いマニュアルは誰も読みません。モニターの横に貼れるような、A4用紙1枚のチェックリストを作成しましょう。